来源:蜘蛛抓取(WebSpider)
时间:2018-03-15 10:42
标签:
tcp syn
LINUX 遭到SYN FLOOD攻击 LINUX下SYN攻防战
互联网 & 10-19 10:38:19 & 作者:佚名 &
如何打响Linux服务器下的攻防战,感兴趣的小伙伴们可以参考一下本文,或许会有所收获。
LINUX下SYN攻防战如下&&&&&
(一)SYN攻击原理
SYN攻击属于DOS攻击的一种,它利用TCP协议缺陷,通过发送大量的半连接请求,耗费服务器CPU和内存资源。SYN攻击聊了能影响主机外,还可以危害路由器,防火墙等网络系统,事实上SYN攻击并不管目标是什么系统,只要这些系统打开TCP服务就可以实施.我们知道,在网络中两台电脑建立TCP连接 时需要进行三次握手过程,客户端首先向服务器发关TCP SYN数据包,接着服务器会向客户端发关相应的SYN ACK数据包,最后客户端会以ACK进行响应.从而建立正常的握手过程。在具体的连接细节中,服务器最早接受到SYN包时,在TCP协议栈中会将相应的半连接记录添加到队列中,之后等待接受下面准备握手的数据包,如果握手成功,那么这个半连接记录将从队列中删除.或者当服务器未收到客户端的确认包时,会重发请求包,一直到超时才将此条目从未连接队列删除。但是在服务器中的TCP协议栈中存储的半连接记录是有限的,当服务器受到SYN型的DOS攻击后,队 列会很快处于充满状态,客户端在短时间内伪造大量不存在的IP地址,向服务器不断地发送SYN包,服务器回复确认包,并等待客户的确认,由于源地址是不存在的,服务器需要不断的重发直至超时,这些伪造的SYN包将长时间占用未连接队列,正常的SYN请求被丢弃,目标系统运行缓慢严重者引起网络堵塞甚至系统瘫痪,服务器随后就不再接受新的网络连接,从而造成正常的客户端无法访问服务器的情况发生。
(二)实战SYN攻击过程
SYN攻击实现起来非常的简单,互联网上有大量面成的SYN攻击工具可以直接利用.假设在Linux服务器中安装了Web服务,在 Linux的命令提示符中执行&service httpd start&命令,即可开启Web服务,接着执行&netstat -ant | grep 80&命令,可以看到80端口已经处于打开状态了.在网络的其它机器上利用SYN攻击软件(例如&synkill&等)对Linux服务器的80端口进行 DOS攻击,之后在Linux服务器中执行命令&netstat -ant | grep 80&,可以看到大量的网络连接信息,包括连接的类型,原地址,目标直地址,连接状态等,当然,因为SYN工具通常会伪告客户端地址,因此在连接列表中是 找不到真实地址的.在连接状态中显示&SYN_RECV&,表示当前处于半连接状态.我们可以每隔几秒钟运行命令&netstat -n -p TCP | grep SYN_RECV |grep 80 | wc -l&,来检查某个端口(这里为80)的未连接队列的条目数,当发现该条目数增大到某个极大值,并处于平衡状态时,那么就很有可能是Linux的TCP协 议栈中的队列满了,此时用户就无法建立新的连接了。
&(三)如可在Linux中防御SYN型DOS攻击
在Linux中防御SYN型DOS攻击的方法比较常见的有增大队列SYN最大半连接数,减小超时值,利用SYN cookie技术,过滤可疑的IP地址等常用方法,下面分别进行分析。
(四)增大队列SYN最大半连接数
在Linux中执行命令&sysctl -a|grep net.ipv4.tcp_max_syn_backlog&,在返回的&net.ipv4.tcp_max_syn_backlog=256&中显示 Linux队列的最大半连接容量是256.这个默认值对于Web服务器来说是远远不够的,一次简单的SYN攻击就足以将其完全占用.因此,防御DOS攻击 最简单的办法就是增大这个默认值,在Linux中执行命令&sysctl -w et.ipv4.tcp_max_syn_backlog=3000&,这样就可以将队列SYN最大半连接数容量值改为3000了。&&
(五)减小超时值
在Linux中建立TCP连接时,在客户端和服务器之间创建握手过程中,当服务器未收到客户端的确认包时,会重发请求包,一直到超时才将此条目从未连接队 列是删除,也就是说半连接存在一定的存活时间,超过这个时间,半连接就会自动断开,在上述SYN攻击测试中,当经过较长的的时间后,就会发现一些半连接已经自动断开了。半连接存活时间实际上是系统所有重传次数等待的超时时间之和,这个值越大半连接数占用的Backlog队列的时间就越长,系统能处理的 SYN请求就越少,因此,缩短超时时间就可以有效防御SYN攻击,这可以通过缩小重传超时时间和减少重传次数来实现.在Linux中默认的重传次数为5 次,总超时时间为3分钟,在Linux中执行命令&sysctl -w net.ipv4.tcp_synack_retries=1&,将超时重传次数设置为。&&&&&
(六)利用SYN cookie来防御DOS攻击
除了在TCP协议栈中开辟一个内存空间来存储半连接数之外,为避免因为SYN请求数量太多,导致该队列被填满的情况下,Linux服务器仍然可以处理新的SYN连接,可以利用SYN Cookie技术来处理SYN连接。什么是SYN Cookie呢?SYN Cookie是用一个Cookie来响应TCP SYN请求的,在正常的TCP连接过程中,当服务器接收一个SYN数据包,就会返回一个SYN -ACK包来应答,然后进入TCP -SYN -RECV(半开放连接)状态来等待最后返回的ACK包。服务器用一个数据空间来描述所有未决的连接,然而这个数据空间的大小是有限的,所以攻击者将塞满 这个空间,在TCP SYN COOKIE的执行过程中,当服务器收到一个SYN包的时候,他返回一个SYN -ACK包,这个数据包的ACK序列号是经过加密的,它由TCP连接的源地址和端口号,目标地址和端口号,以及一个加密种子经过HASH计算得出的,然后 服务器释放所有的状态.如果一个ACK包从客户端返回后,服务器重新计算COOKIE来判断它是不是上个SYN -ACK的返回包.如果是的话,服务器就可以直接进入TCP连接状态并打开连接.这样服务器就可以避免守候半开放连接了,在Linux中执行命令&echo &echo &1& & / proc/sys/net/ipv4/tcp_syncookies&& & /etc/rc_local&,这样即可启动SYN Cookie,并将其添加到了Linux的启动文件,这样即使系统重启也不影响SYN Cookie的激活状态。
(七)过滤可疑的IP直址
当客户机对服务器进行攻击时,在服务器上可以进行抓包操作,这样可以对数据包中的IP进行检测,然后再对这些可疑的潮行过滤,从而将其无法正常连接服务器。利用Linux自带的&tcpdump&命令可以实现抓包操作,执行命令&tcpdump -c 1000 -l eth 0 -n dst port 80 & test.txt&,就可以在当前目录下创建一个。
以上就是本文的全部内容,希望对大家的学习有所帮助。
大家感兴趣的内容
12345678910
最近更新的内容TCP三次握手连接及seq和ack号的正确理解
使用监听程序监听网络数据包的时候,经常会看到ACK、SYN等等,下面对包含这些的TCP握手协议进行解析三次握手Three-way
Handshake 一个虚拟连接的建立是通过三次握手来实现的 1. (B) [SYN] (A) 假如服务器A和客户机B通讯.
当A要和B通信时,B首先向A发一个SYN
使用监听程序监听网络数据包的时候,经常会看到ACK、SYN等等,下面对包含这些的TCP握手协议进行解析
三次握手Three-way Handshake
一个虚拟连接的建立是通过三次握手来实现的
1. (B) && [SYN] && (A)
假如服务器A和客户机B通讯. 当A要和B通信时,B首先向A发一个SYN (Synchronize)
标记的包,告诉A请求建立连接.
注意: 一个 SYN包就是仅SYN标记设为1的TCP包(参见TCP包头Resources).
认识到这点很重要,只有当A受到B发来的SYN包,才可建立连接,除此之外别无他法。因此,如果你的防火墙丢弃所有的发往外网接口的SYN包,那么你将不能让外部任何主机主动建立连接。----------------注:也就是说此时ACK置0只有这种情况
2. (B) && [SYN/ACK] &&(A)
接着,A收到后会发一个对SYN包的确认包(SYN/ACK)回去,表示对第一个SYN包的确认,并继续握手操作.
注意: SYN/ACK包是仅SYN 和 ACK 标记为1的包.
3. (B) && [ACK] && (A)
B收到SYN/ACK 包,B发一个确认包(ACK),通知A连接已建立。至此,三次握手完成,一个TCP连接完成
Note: ACK包就是仅ACK 标记设为1的TCP包.
需要注意的是当三此握手完成、连接建立以后,TCP连接的每个包都会设置ACK位
握手阶段:
序号 方向 seq ack
1 A-&B 10000 0
2 B-&A +1=10001
3 A-&B +1=20001
1:A向B发起连接请求,以一个随机数初始化A的seq,这里假设为10000,此时ACK=0
2:B收到A的连接请求后,也以一个随机数初始化B的seq,这里假设为20000,意思是:你的请求我已收到,我这方的数据流就从这个数开始。B的ACK是A的seq加1,即1001
3:A收到B的回复后,它的seq是它的上个请求的seq加1,即1001,意思也是:你的回复我收到了,我这方的数据流就从这个数开始。A此时的ACK是B的seq加1,即01
数据传输阶段:
序号 方向 seq ack size
24 B-&A +60 54
25 A-&B +54-54=
26 B-&A +20 54
23:B接收到A发来的seq=40000,ack=70000,size=1514的数据包
24:于是B向A也发一个数据包,告诉B,你的上个包我收到了。B的seq就以它收到的数据包的ACK填充,ACK是它收到的数据包的SEQ加上数据包的大小(不包括以太网协议头,IP头,TCP头),以证实B发过来的数据全收到了。
25:A在收到B发过来的ack为41460的数据包时,一看到41460,正好是它的上个数据包的seq加上包的大小,就明白,上次发送的数据包已安全到达。于是它再发一个数据包给B。这个正在发送的数据包的seq也以它收到的数据包的ACK填充,ACK就以它收到的数据包的seq(70000)加上包的size(54)填充,即ack=(全是头长,没数据项)。
其实在握手和结束时确认号应该是对方序列号加1,传输数据时则是对方序列号加上对方携带应用层数据的长度.如果从以太网包返回来计算所加的长度,就嫌走弯路了.
另外,如果对方没有数据过来,则自己的确认号不变,序列号为上次的序列号加上本次应用层数据发送长度.
TCP 会话劫持
SYN FLOOD(同步洪流)
在这里我们讨论的时TCP 会话劫持的问题。
先让我们明白TCP 建立连接的基本简单的过程。为了建设一个小型的模仿环境我们假
设有3 台接入互联网的机器。A 为攻击者操纵的攻击机。B 为中介跳板机器(受信任的服务
器)。C 为受害者使用的机器(多是服务器),这里把C 机器锁定为目标机器。A 机器向B
机器发送SYN 包,请求建立连接,这时已经响应请求的B 机器会向A 机器回应SYN/ACK
表明同意建立连接,当A 机器接受到B 机器发送的SYN/ACK 回应时,发送应答ACK 建立
A 机器与B 机器的网络连接。这样一个两台机器之间的TCP 通话信道就建立成功了。
B 终端受信任的服务器向C 机器发起TCP 连接,A 机器对服务器发起SYN 信息,使
C 机器不能响应B 机器。在同时A 机器也向B 机器发送虚假的C 机器回应的SYN 数据包,
接收到SYN 数据包的B 机器(被C 机器信任)开始发送应答连接建立的SYN/ACK 数据包,
这时C 机器正在忙于响应以前发送的SYN 数据而无暇回应B 机器,而A 机器的攻击者预
测出B 机器包的序列号(现在的TCP 序列号预测难度有所加大)假冒C 机器向B 机器发送
应答ACK 这时攻击者骗取B 机器的信任,假冒C 机器与B 机器建立起TCP 协议的对话连
接。这个时候的C 机器还是在响应攻击者A 机器发送的SYN 数据。
TCP 协议栈的弱点:TCP 连接的资源消耗,其中包括:数据包信息、条件状态、序列
号等。通过故意不完成建立连接所需要的三次握手过程,造成连接一方的资源耗尽。
通过攻击者有意的不完成建立连接所需要的三次握手的全过程,从而造成了C 机器的
资源耗尽。序列号的可预测性,目标主机应答连接请求时返回的SYN/ACK 的序列号时可预
---------------------------------------------标志段图解-------------------------------------------
TCP的三次握手是怎么进行的了:发送端发送一个SYN=1,ACK=0标志的数据包给接收端,请求进行连接,这是第一次握手;接收端收到请求并且允许连接的话,就会发送一个SYN=1,ACK=1标志的数据包给发送端,告诉它,可以通讯了,并且让发送端发送一个确认数据包,这是第二次握手;最后,发送端发送一个SYN=0,ACK=1的数据包给接收端,告诉它连接已被确认,这就是第三次握手。之后,一个TCP连接建立,开始通讯。
*SYN:同步标志
同步序列编号(Synchronize Sequence
Numbers)栏有效。该标志仅在三次握手建立TCP连接时有效。它提示TCP连接的服务端检查序列编号,该序列编号为TCP连接初始端(一般是客户端)的初始序列编号。在这里,可以把TCP序列编号看作是一个范围从0到4,294,967,295的32位计数器。通过TCP连接交换的数据中每一个字节都经过序列编号。在TCP报头中的序列编号栏包括了TCP分段中第一个字节的序列编号。
*ACK:确认标志
确认编号(Acknowledgement
Number)栏有效。大多数情况下该标志位是置位的。TCP报头内的确认编号栏内包含的确认编号(w+1,Figure-1)为下一个预期的序列编号,同时提示远端系统已经成功接收所有数据。
*RST:复位标志
复位标志有效。用于复位相应的TCP连接。
*URG:紧急标志
紧急(The urgent pointer) 标志有效。紧急标志置位,
*PSH:推标志
该标志置位时,接收端不将该数据进行队列处理,而是尽可能快将数据转由应用处理。在处理 telnet 或 rlogin
等交互模式的连接时,该标志总是置位的。
*FIN:结束标志
带有该标志置位的数据包用来结束一个TCP回话,但对应端口仍处于开放状态,准备接收后续数据。
=============================================================
TCP三次握手
所谓三次握手(Three-way Handshake),是指建立一个TCP连接时,需要客户端和服务器总共发送3个包。
三次握手的目的是连接服务器指定端口,建立TCP连接,并同步连接双方的序列号和确认号并交换 TCP
窗口大小信息.在socket编程中,客户端执行connect()时。将触发三次握手。
第一次握手:
客户端发送一个TCP的SYN标志位置1的包指明客户打算连接的服务器的端口,以及初始序号X,保存在包头的序列号(Sequence
Number)字段里。
第二次握手:
服务器发回确认包(ACK)应答。即SYN标志位和ACK标志位均为1同时,将确认序号(Acknowledgement
Number)设置为客户的I S N加1以.即X+1。
第三次握手.
客户端再次发送确认包(ACK)
SYN标志位为0,ACK标志位为1.并且把服务器发来ACK的序号字段+1,放在确定字段中发送给对方.并且在数据段放写ISN的+1
需要注意的是当三此握手完成、连接建立以后,TCP连接的每个包都会设置ACK位
在三次握手过程中,服务器发送SYN-ACK之后,收到客户端的ACK之前的TCP连接称为半连接(half-open
connect).此时服务器处于Syn_RECV状态.当收到ACK后,服务器转入ESTABLISHED状态.
Syn攻击就是
攻击客户端在短时间内伪造大量不存在的IP地址,向服务器不断地发送syn包,服务器回复确认包,并等待客户的确认,由于源地址是不存在的,服务器需要不断的重发直至超时,这些伪造的SYN包将长时间占用未连接队列,正常的SYN请求被丢弃,目标系统运行缓慢,严重者引起网络堵塞甚至系统瘫痪。
Syn攻击是一个典型的DDOS攻击。检测SYN攻击非常的方便,当你在服务器上看到大量的半连接状态时,特别是源IP地址是随机的,基本上可以断定这是一次SYN攻击.在Linux下可以如下命令检测是否被Syn攻击
netstat -n -p TCP | grep SYN_RECV
一般较新的TCP/IP协议栈都对这一过程进行修正来防范Syn攻击,修改tcp协议实现。主要方法有SynAttackProtect保护机制、SYN
cookies技术、增加最大半连接和缩短超时时间等.
但是不能完全防范syn攻击。
TCP 四次挥手
TCP的连接的拆除需要发送四个包,因此称为四次挥手(four-way
handshake)。客户端或服务器均可主动发起挥手动作,在socket编程中,任何一方执行close()操作即可产生挥手操作。
参见wireshark抓包,实测的抓包结果并没有严格按挥手时序。我估计是时间间隔太短造成。
为什么建立连接协议是三次握手,而关闭连接却是四次握手呢?
这是因为服务端的LISTEN状态下的SOCKET当收到SYN报文的建连请求后,它可以把ACK和SYN(ACK起应答作用,而SYN起同步作用)放在一个报文里来发送。但关闭连接时,当收到对方的FIN报文通知时,它仅仅表示对方没有数据发送给你了;但未必你所有的数据都全部发送给对方了,所以你可以未必会马上会关闭SOCKET,也即你可能还需要发送一些数据给对方之后,再发送FIN报文给对方来表示你同意现在可以关闭连接了,所以它这里的ACK报文和FIN报文多数情况下都是分开发送的。
2、为什么TIME_WAIT状态还需要等2MSL后才能返回到CLOSED状态?
这是因为:虽然双方都同意关闭连接了,而且握手的4个报文也都协调和发送完毕,按理可以直接回到CLOSED状态(就好比从SYN_SEND状态到ESTABLISH状态那样);但是因为我们必须要假想网络是不可靠的,你无法保证你最后发送的ACK报文会一定被对方收到,因此对方处于LAST_ACK状态下的SOCKET可能会因为超时未收到ACK报文,而重发FIN报文,所以这个TIME_WAIT状态的作用就是用来重发可能丢失的ACK报文。
------------------------------------------------------------------------
编码方式:
seq三次握手seq,ack标志段分别为:
而发送数据过程全为:
因此可以根据ip第一次发的1
0包确定流的方向
释放时,每个方向上都有一个fin,ack
识别双向都有则可认为TCP释放,从而获取一次TCP连接
已投稿到:
以上网友发言只代表其个人观点,不代表新浪网的观点或立场。他的最新文章
他的热门文章
您举报文章:
举报原因:
原文地址:
原因补充:
(最多只允许输入30个字)三次握手_百度百科
清除历史记录关闭
声明:百科词条人人可编辑,词条创建和修改均免费,绝不存在官方及代理商付费代编,请勿上当受骗。
三次握手(three times handshake;three-way handshake)所谓的“三次握手”即对每次发送的量是怎样跟踪进行协商使的发送和接收同步,根据所接收到的数据量而确定的数据确认数及数据发送、接收完毕后何时撤消联系,并建立虚连接。为了提供可靠的传送,TCP在发送新的之前,以特定的顺序将数据包的序号,并需要这些包传送给目标机之后的确认消息。TCP总是用来发送大批量的。当在收到后要做出确认时也要用到TCP。
三次握手过程
三次握手第一次
第一次握手:建立连接时,发送包(syn=j)到,并进入状态,等待服务器确认;SYN:同步序列编号(Synchronize Sequence Numbers)。
三次握手第二次
:收到包,必须确认客户的SYN(=j+1),同时自己也发送一个SYN包(syn=k),即SYN+ACK包,此时服务器进入状态;
三次握手第三次
第三次握手:收到器的SYN+ACK包,向发送确认包ACK(=k+1),此包发送完毕,客户端和服务器进入(TCP连接成功)状态,完成三次握手。
完成三次握手,与服务器开始传送,在上述过程中,还有一些重要的概念:
三次握手未连接队列
在中,维护一个未连接队列,该队列为每个的SYN包(=j)开设一个条目,该条目表明服务器已收到SYN包,并向客户发出确认,正在等待客户的确认包。这些条目所标识的连接在处于 Syn_RECV状态,当服务器收到客户的确认包时,删除该条目,服务器进入ESTABLISHED状态。
三次握手Backlog参数
表示内核为相应套接字排队的最大连接个数。SYN-ACK重传次数
三次握手协议
发送完SYN-ACK包,如果未收到客户确认包,服务器进行首次重传,等待一段时间仍未收到客户确认包,进行第二次重传,如果重传次数超过系统规定的最大重传次数,系统将该连接信息从半连接队列中删除。注意,每次重传等待的时间不一定相同。
《UNIX 网络编程》中指出,关于backlog参数从未有过正式的定义,BSD 4.2手册中宣称它的定义是:“the maximum length the queue of pending connections may grow to”,即未处理连接构成的队列可能增长到的最大长度,POSIX规范也逐字复制该定义。不过这个定义中并没有明确到底这个连接指的是SYN_RCVD状态的连接,还是未由进程接受的处于ESTABLISHED状态的连接,亦或两者皆可。
不论这个backlog参数到底指的是哪一个,对于服务器而言,都需要尽快的去处理已经处于ESTABLISHED状态的连接。而仅仅对于backlog来说,我们需要取一个比较大的值以应对大量的服务请求。
半连接存活时间
是指半连接队列的条目存活的最长时间,也即器从收到SYN包到确认这个无效的最长时间,该时间值是所有重传请求包的最长等待时间总和。有时我们也称半连接存活时间为Timeout时间、SYN_RECV存活时间。
三次握手TCP头结构
面向连接的TCP三次握手是Syn Flood存在的基础。
TCP协议头最少20个字节,包括以下的区域(由于翻译不尽相同,文章中给出相应的英文单词):
TCP(Source Port):16位的源端口其中包含初始化通信的端口。源端口和源地址的作用是标示的返回地址。
TCP目的端口(Destination port):16位的目的端口域定义传输的目的。这个端口指明接收计算机上的地址接口。
TCP(序列码,Sequence Number):32位的由接收端计算机使用,重新分段的成最初形式。当SYN出现,序列码实际上是初始序列码(),而第一个数
据是ISN+1。这个(序列码)是可以补偿传输中的 不一致。
TCP应答号(Acknowledgment Number):32位的序列号由接收端计算机使用,重组分段的成最初形式。如果设置了ACK控制位,这个值表示一个准备接收的包的序列码。
偏移量(HLEN):4位包括TCP头大小,指示何处数据开始。
TCP四次挥手结束连接
保留(Reserved):6位值域,这些位必须是0。为了将来定义新的用途所保留。
标志(Code Bits):6位标志域。表示为:紧急标志、有意义的应答标志、推、重置连接标志、同步标志、完成发送标志。按照顺序排列是:URG、ACK、PSH、RST、SYN、FIN。
窗口(Window):16位,用来表示想收到的每个TCP的大小。
校验位(Checksum):16位TCP头。源机器基于内容计算一个数值,收信息机要与源机器数值结果完全一样,从而证明数据的有效性。
优先指针(紧急,Urgent Pointer):16位,指向后面是优先的字节,在URG标志设置了时才有效。如果URG标志没有被设置,紧急域作为填充。加快处理标示为紧急的。
选项(Option):长度不定,但长度必须是一个。如果没有选项就表示这一个字节的域等于0。
三次握手关闭TCP连接:改进的三次握手
对于一个已经建立的连接,TCP使用改进的三次握手来释放连接(使用一个带有FIN附加标记的报文段)。TCP关闭连接的步骤如下:
第一步,当主机A的应用程序通知TCP数据已经发送完毕时,TCP向主机B发送一个带有FIN附加标记的报文段(FIN表示英文finish)。
第二步,主机B收到这个FIN报文段之后,并不立即用FIN报文段回复主机A,而是先向主机A发送一个确认序号ACK,同时通知自己相应的应用程序:对方要求关闭连接(先发送ACK的目的是为了防止在这段时间内,对方重传FIN报文段)。
第三步,主机B的应用程序告诉TCP:我要彻底的关闭连接,TCP向主机A送一个FIN报文段。
第四步,主机A收到这个FIN报文段后,向主机B发送一个ACK表示连接彻底释放。[1]
三次握手标志控制
URG:紧急标志
紧急(The urgent pointer) 标志有效。紧急标志置位,
ACK:确认标志
确认编号(Acknowledgement Number)栏有效。大多数情况下该标志
TCP三次握手是Syn Flood存在的基础
位是置位的。TCP报头内的确认编号栏内包含的确认编号(w+1,Figure:1)为下一个预期的序列编号,同时提示远端系统已经成功接收所有。
PSH:推标志
该标志置位时,接收端不将该进行队列处理,而是尽可能快将数据转由应用处理。在处理
或 rlogin 等交互模式的连接时,该标志总是置位的。
RST:复位标志
复位标志有效。用于复位相应的TCP连接。
SYN:同步标志
同步序列编号(Synchronize Sequence Numbers)栏有效。该标志仅在三次握手建立TCP连接时有效。它提示TCP连接的检查序列编号,该序列编号为TCP连接初始端(一般是)的初始序列编号。在这里,可以把TCP序列编号看作是一个范围从0到4,294,967,295的32位。通过TCP连接交换的中每一个都经过序列编号。在TCP报头中的序列编号栏包括了TCP分段中第一个的序列编号。
FIN:结束标志
带有该标志置位的数据包用来结束一个TCP回话,但对应端口仍处于开放状态,准备接收后续数据。
处于,用于建立连接请求的(IP pet)按照TCP/IP协议堆栈组合成为TCP处理的分段(segment)。
分析报头信息: TCP层接收到相应的TCP和IP报头,将这些信息存储到内存中。
检查TCP校验和(checksum):标准的校验和位于分段之中(Figure:2)。如果检验失败,不返回确认,该分段丢弃,并等待进行重传。
查找协议控制块(PCB{}):TCP查找与该连接相关联的协议控制块。如果没有找到,TCP将该分段丢弃并返回RST。(这就是TCP处理没有情况下的机制) 如果该协议控制块存在,但状态为关闭,不调用connect()或listen()。该分段丢弃,但不返回RST。会尝试重新建立连接请求。
建立新的:当处于的socket收到该分段时,会建立一个子,同时还有socket{},tcpcb{}和pub{}建立。这时如果有错误发生,会通过标志位来拆除相应的和释放内存,TCP连接失败。如果缓存队列处于填满状态,TCP认为有错误发生,所有的后续连接请求会被拒绝。这里可以看出SYN Flood攻击是如何起作用的。
丢弃:如果该分段中的标志为或,或者没有SYN标志,则该分段丢弃。并释放相应的内存。
三次握手数据传输
发送序列 SND.UNA :发送未确认
SND.NXT :发送下一个
SND.WND :
SND.UP :发送优先指针
SND.WL1 :用于最后窗口更新的段
SND.WL2 :用于最后窗口更新的段确认号
ISS :初始发送
RCV.NXT :接收下一个
RCV.WND :接收下一个
RCV.UP :接收优先指针
IRS :初始接收序列号
当前段变量
SEG.SEQ :段
SEG.ACK :段确认标记
SEG.LEN :段长
SEG.WND :段窗口
SEG.UP :段紧急指针
SEG.PRC :段优先级
CLOSED表示没有连接,各个状态的意义如下:
LISTEN :监听TCP端口的连接请求。
SYN-SENT :在发送连接请求后等待匹配的连接请求。
SYN-RECEⅣED :在收到和发送一个连接请求后等待对连接请求的确认。
ESTABLISHED :代表一个打开的连接,可以传送给用户。
FIN-WAIT-1 :等待远程TCP的连接中断请求,或先前的连接中断请求的确认。
FIN-WAIT-2 :从远程TCP等待连接中断请求。
CLOSE-WAIT :等待从发来的连接中断请求。
CLOSING :等待远程TCP对连接中断的确认。
LAST-ACK :等待原来发向远程TCP的连接中断请求的确认。
TIME-WAIT :等待足够的时间以确保远程TCP接收到连接中断请求的确认。
CLOSED :没有任何连接状态。
TCP连接过程是状态的转换,促使发生状态转换的是用户调用:OPEN,SEND,RECEⅣE,CLOSE,ABORT和STATUS。传送过来的,特别那些包括以下标记的数据段SYN,ACK,RST和FIN。还有超时,上面所说的都会时TCP状态发生变化。
三次握手序列标识
在TCP连接中发送的字节都有一个。因为编了号,所以可以确认它们的收到。对的确认是累积性的。TCP必须进行的比较操作种类包括以下几种:
①决定一些发送了的但未确认的。
②决定所有的都已经收到了。
③决定下一个段中应该包括的。
对于发送的TCP要接收确认,确认时必须进行的:
SND.UNA = 最老的确认了的。
SND.NXT = 下一个要发送的。
三次握手数据
SEG.ACK = 接收TCP的确认,接收TCP期待的下一个。
SEG.SEQ = 一个的第一个。
SEG.LEN = 中包括的字节数。
SEG.SEQ+SEG.LEN-1 = 的最后一个。
如果一个的小于等于确认号的值,那么整个数据段就被确认了。而在接收时下面的比较操作是必须的:
RCV.NXT = 期待的和接收窗口的最低沿。
RCV.NXT+RCV.WND:1 = 最后一个和接收窗口的最高沿。
SEG.SEQ = 接收到的第一个。
SEG.SEQ+SEG.LEN:1 = 接收到的最后一个。[2]
三次握手基于三次握手的SYN洪水攻击
三次握手基本原理
三次握手协议
建设一个小型的模仿环境假设有3台接入的机器。A为攻击者操纵的攻击机。B为中介跳板机器(受信任的)。C为受害者使用的机器(多是),这里把C机器锁定为目标机器。A机器向B机器发送SYN包,请求建立连接,这时已经响应请求的B机器会向A机器回应SYN/ACK表明同意建立连接,当A机器接受到B机器发送的SYN/ACK回应时,发送应答ACK建立A机器与B机器的网络连接。这样一个两台机器之间的TCP通话信道就建立成功了。
B终端受信任的向C机器发起TCP连接,A机器对C发起SYN信息,使C机器不能响应B机器。在同时A机器也向B机器发送虚假的C机器回应的SYN包,接收到SYN数据包的B机器(被C机器信任)开始发送应答连接建立的SYN/ACK数据包,这时C机器正在忙于响应以前发送的SYN数据而无暇回应B机器,A机器的攻击者预测出B机器包的(TCP预测难度有些大)假冒C机器向B机器发送应答ACK这时攻击者骗取B机器的信任,假冒C机器与B机器建立起TCP协议的对话连接。这个时候的C机器还是在响应攻击者A机器发送的数据。
三次握手TCP协议栈的弱点
TCP连接的消耗,其中包括:数据包信息、条件状态、等。通过故意不完成建立连接所需要的三次握手过程,造成连接一方的耗尽。
通过攻击者有意的不完成建立连接所需要的三次握手的全过程,从而造成了C机器的耗尽。的可预测性,目标应答连接请求时返回的SYN/ACK的序列号时可预测的。
王群.计算机网络教程:清华大学出版社,2005
中国电子学会(Chinese Instit...
提供资源类型:内容
清除历史记录关闭
